Rkyadav210/Threat-Hunting-using-Splunk-SPL-Network-Anomaly-Detection

# 使用 Splunk SPL 进行威胁狩猎-网络异常检测 构建并执行基于 SPL 的威胁狩猎查询，以分析 IDS/IPS 日志，并识别允许流量中的恶意活动。检测到异常 IP 行为，包括重复连接尝试、异常流量模式以及潜在的命令与控制（C2）活动。关联网络、云（AWS）和端点日志以揭示隐藏威胁。 # 查找与基线相比行为异常的 IP index=network_logs sourcetype=ids_ips action=allowed | stats count by src_ip | eventstats avg(count) as avg stdev(count) as stdev | eval threshold = avg + (2*stdev) | where count > threshold | sort -count # 端口扫描 / 横向移动检测 index=network_logs sourcetype=ids_ips action=allowed | stats dc(dest_port) as unique_ports values(dest_port) as ports by src_ip | where unique_ports > 15 | sort -unique_ports # 重复连接尝试（暴力破解） index=network_logs sourcetype=ids_ips action=allowed | stats count by src_ip, dest_ip | where count > 150 | sort -count # 稀有目标访问（异常检测） index=network_logs sourcetype=ids_ips action=allowed | stats count by dest_ip | where count < 5 | sort count # 基于地理位置的异常检测 index=network_logs sourcetype=ids_ips action=allowed | iplocation src_ip | stats count by src_ip, Country | search Country!="India" | sort -count # 基于时间的异常（非工作时间活动） index=network_logs sourcetype=ids_ips action=allowed | eval hour=strftime(_time,"%H") | where hour<6 OR hour>22 | stats count by src_ip, hour | sort -count

标签：AWS安全, GeoIP异常, IDS/IPS日志分析, IP 地址批量处理, PE 加载器, PoC, SPL, 命令与控制检测, 威胁情报, 安全分析与查询, 安全基线, 安全运营中心, 开发者工具, 异常检测, 插件系统, 教学环境, 数据统计, 日志关联分析, 暴力破解, 横向移动, 源代码, 漏洞利用检测, 端口扫描, 端点安全, 红队行动, 编程规范, 网络安全, 网络映射, 网络流量分析, 补丁管理, 隐私保护, 非工作时间活动